Cyber kill chain
Řetěz cyber kill (CKC) je tradiční model zabezpečení, který popisuje scénář ze staré školy, přičemž externí útočník podniká kroky k proniknutí do sítě a krádeži jejích dat rozkládajících kroky útoku, aby pomohl organizacím připravit se. CKC je vyvíjen týmem známým jako tým počítačové bezpečnosti. Řetěz cyber kill popisuje útok externího útočníka, který se pokouší získat přístup k datům v rámci zabezpečení
Každá fáze řetězce cyber kill ukazuje konkrétní cíl spolu s cílem útočníka Way. Navrhněte svůj plán sledování a odezvy zabíjení řetězců Cyber Model je efektivní metoda, protože se zaměřuje na to, jak k útokům dochází. Fáze zahrnují:
- Průzkum
- Zbraň
- dodávka
- Vykořisťování
- Instalace
- Velení a řízení
- Akce týkající se cílů
Nyní budou popsány kroky řetězce cyber kill:
Krok 1: Průzkum
Zahrnuje sběr e-mailových adres, informací o konferenci atd. Průzkumný útok znamená, že jde o snahu hrozeb co nejvíce shromáždit data o síťových systémech před zahájením dalších skutečných nepřátelských druhů útoků. Průzkumní útočníci jsou dvou typů, pasivního průzkumu a aktivního průzkumného průzkumu. Recognition Attacker focus on “who” or network: Who will probably focus on the privileged people either for System access, or access to “Network” důvěrných dat se zaměřuje na architekturu a rozložení; nástroj, vybavení a protokoly; a kritická infrastruktura. Pochopte chování oběti a vloupejte se do domu pro oběť.
Krok 2: Zbraň
Dodejte užitečné zatížení spojením exploitů se zadními vrátky.
Útočníci dále použijí sofistikované techniky k přepracování některého základního malwaru, který vyhovuje jejich účelům. Malware může zneužít dříve neznámé chyby zabezpečení, neboli zneužití „nulového dne“, nebo nějakou kombinaci chyb zabezpečení, aby tiše porazil obranu sítě, v závislosti na potřebách a schopnostech útočníka. Úpravou malwaru útočníci snižují pravděpodobnost, že ji tradiční bezpečnostní řešení detekují. „Hackeři použili tisíce internetových zařízení, která byla dříve infikována škodlivým kódem - známým jako„ botnet “nebo, žertem,„ zombie armádou “- a vynutila si zvlášť silné distribuované odmítnutí služby Angriff (DDoS).
Krok 3: Dodání
Útočník pošle oběti škodlivé užitečné zatížení pomocí e-mailu, což je jen jedna z mnoha možností, kterou může útočník použít. Existuje více než 100 možných způsobů doručení.
Cílová:
Útočníci zahájili vniknutí (zbraně vyvinuté v předchozím kroku 2). Základní dvě metody jsou:
- Řízené doručování, které představuje přímé doručování, hackování otevřeného portu.
- Doručení je uvolněno soupeři, který phishingem přenáší malware na cíl.
Tato fáze ukazuje první a nejvýznamnější příležitost obránců bránit v operaci; tím jsou však poraženy některé klíčové schopnosti a další vysoce ceněné informace o datech. V této fázi měříme životaschopnost pokusů o částečné narušení, které jsou bráněny v dopravním bodě.
Krok 4: Vykořisťování
Jakmile útočníci identifikují změnu ve vašem systému, využijí slabost a provedou svůj útok. Během fáze vykořisťování útoku jsou útočník a hostitelský počítač ohroženi. Mechanismus doručení obvykle provede jedno ze dvou opatření:
- Nainstalujte malware (kapátko), který umožňuje provedení příkazu útočníka.
- Nainstalujte a stáhněte malware (stahovač)
V posledních letech se to stalo oblastí odbornosti v hackerské komunitě, která se často projevuje na akcích jako Blackhat, Defcon a podobně.
Krok 5: Instalace
V této fázi instalace vzdáleného přístupu trojského koně nebo backdooru do systému oběti umožňuje uchazeči zachovat vytrvalost v prostředí. Instalace malwaru na dílo vyžaduje zapojení koncového uživatele nevědomým povolením škodlivého kódu. Akce může být v tomto okamžiku považována za kritickou. Technika, jak toho dosáhnout, by byla implementace systému prevence narušení založeného na hostiteli (HIPS), který by dával pozor nebo bránil běžným cestám, například. Úloha NSA, RECYKLÁTOR. Porozumění tomu, zda Malware ke spuštění cíle vyžaduje oprávnění od správce nebo pouze od uživatele, je zásadní. Obránci musí porozumět procesu monitorování koncových bodů, aby odhalili neobvyklé výtvory souborů. Potřebují vědět, jak sestavit načasování malwaru, aby zjistili, zda je starý nebo nový.
Krok 6: Velení a řízení
Ransomware používá k ovládání připojení. Před zabavením souborů si stáhněte klíče k šifrování. Vzdálený přístup trojských koní například otevře příkaz a řídí připojení, abyste mohli vzdáleně přistupovat k systémovým datům. To umožňuje nepřetržité připojení k prostředí a činnost detektivního opatření na obranu.
Jak to funguje?
Plán velení a řízení se obvykle provádí pomocí majáku mimo mřížku přes povolenou cestu. Majáky mají mnoho podob, ale ve většině případů bývají:
HTTP nebo HTTPS
Zdá se neškodný provoz prostřednictvím padělaných hlaviček HTTP
V případech, kdy je komunikace šifrována, majáky mají tendenci používat automaticky podepsané certifikáty nebo vlastní šifrování.
Krok 7: Akce týkající se cílů
Akce označuje způsob, jakým útočník dosáhne svého konečného cíle. Konečným cílem útočníka může být cokoli, aby z vás extrahovalo Výkupné a dešifrovalo soubory ze sítě na informace o zákazníkovi. V obsahu by druhý příklad mohl zastavit exfiltraci řešení prevence ztráty dat, než data opustí vaši síť. V opačném případě lze útoky použít k identifikaci aktivit, které se odchylují od stanovených základních linií, a informovat IT, že něco není v pořádku. Jedná se o složitý a dynamický útočný proces, jehož uskutečnění může trvat měsíce a stovky malých kroků. Jakmile je tato fáze identifikována v prostředí, je nutné zahájit implementaci připravených reakčních plánů. Přinejmenším by měl být naplánován inkluzivní komunikační plán, který zahrnuje podrobné důkazy o informacích, které by měly být poskytnuty nejvyššímu úředníkovi nebo správní radě, nasazení bezpečnostních zařízení koncových bodů k blokování ztráty informací a příprava skupina CIRT. Mít tyto zdroje předem dobře zavedené je „MUSÍTE“ v dnešním rychle se vyvíjejícím prostředí kybernetické bezpečnosti.